企業にとって大きな痛手となる、個人情報の流出事故。その原因は不正アクセスやウイルスなどのインターネット上の脅威から、オフィス環境の不備による情報の持ち出しなど、多岐に及んでいます。さらに、新たな脅威が日々生まれている現在において、どのような対策を取るべきなのか、全5回の連載コラムでお送りします。第1回は、個人情報流出の "今"を示すデータを紐解いてみましょう。
目次
自社のセキュリティ環境構築にお悩みなら、KDDI まとめてオフィスにご相談ください
一件あたりの平均想定損害賠償額は、実に6億7,439万円!
情報セキュリティの分野においては、コンピュータやネットワークのセキュリティを脅かす事象のことを『インシデント』と呼びます。個人情報の流出などのインシデントは、業務に大きな影響が出るばかりでなく、企業の存亡に関わる事態になる恐れもあります。
それ以前に、費用の面でも大きな痛手となることを『2016年 情報セキュリティインシデントに関する調査報告書』が示しています。
注目したいのは、一件あたりの平均想定損害賠償額。実に6億7,439万円に上ります。もちろんこれはあくまでもすべての被害者が損害賠償を求めた『想定』であり、実際には損害賠償請求が行われないことも多々あります。
しかし、損害賠償が一切行われなかったとしても、事後対応のコストはゼロではありません。被害状況の把握、公表、情報の逐次公開、被害者に対する謝罪、クレーム窓口の設置など、多くの人的リソースやコストを割かなければなりません。当然ながら通常業務にも大きな支障が出てくることでしょう。
こうした事態に陥らないためには、当たり前ではありますが情報を『流出させないこと』が大切です。しかし、なんらかの対策を講じていたのに流出してしまうケースもあります。
それは一体どうしてなのか? 件数ごとの流出の原因をみてみましょう。
最も多いのが『管理ミス』。これは『一人の社員のミス』ともいえますが、実質的には作業手順の誤りや情報公開、管理ルールが明確化されておらず、誤って開示してしまったケースであり、紛失の責任は組織そのものにあるといえます。
さらに『誤操作』『不正アクセス』『紛失・置き忘れ』『不正な情報持ち出し』と続き、複数の原因によって流出していることがわかります。裏を返せば、こうした原因をひとつずつ潰していく対策が求められていることにほかなりません。
インシデント件数が減少する一方で、増え続ける『ネット経由』の流出
先程の原因データは、件数ごとの振り分けでした。しかし『漏洩・被害規模(漏洩した人数)』で見てみると、大きく異なってきます。
およそ半分近くが『ワーム・ウイルス』が原因であり、『不正アクセス』と合わせると8割超がインターネット経由ということになります。
実際、全体のインシデント件数は2014年から2016年にかけて減少していますが、それは『紙媒体による流出』が減っていることが大きな理由であり、インターネット経由の流出件数はむしろ増えています。2014年は84件でしたが、2016年は108件です。
また、被害規模が大きいことも特徴のひとつ。2016年の個人情報流出のうち、規模が大きかったインシデント・トップ10のうち、実に8つがインターネット経由によるものでした。
なぜインターネット経由の流出件数が増え、規模も大きくなるのか?その理由は、インターネット上では日々新しい攻撃の手口が生まれ、対策が『後手』に回っているケースが多いからでしょう。『旧式の鍵』が狙われやすいのは、インターネット上も現実世界も同じです。
次に見てみたいのは、インシデント件数が多い『業種』についてです。
多かったのは、『金融業・保険業』。以降、『教育・学習支援業』『公務』『情報通信業』『卸売、小売業』『医療、福祉』『製造業』『電気・ガス・熱共有・水道業』と続いています。
これら業種に共通するのは、クレジットカード番号や成績、住所を含む情報など、デリケートな個人情報を扱う業種であること。また、『教育・学習支援業』においてはUSBメモリの持ち出しによる事故もいまだに多いため、セキュリティにおける体制や意識の確立が不十分である可能性も否めません。
なお、先ほど規模が大きかったインシデント・トップ10のうち8つがインターネット経由とお伝えしましたが、残りの2つが、くしくも『電気・ガス・熱供給・水道』分野における『紛失・置き忘れ』と『管理ミス』でした。インターネットを介さない原因であっても、大規模な流出につながる可能性があるということです。
インターネット上のセキュリティを強化することはもちろんですが、情報の持ち出しなどを防ぐ物理的なセキュリティ対策もおざなりにせず、オフィス環境を整えていくことが大切です。今回の連載を通じて、具体的な原因の数々と、適切な対策について述べていきます。
次回は、情報の持ち出しや流出を防ぐ、オフィス環境のセキュリティについてご紹介していきます。
ご紹介した商品・ソリューション
※ 記載された情報は、掲載日現在のものです。